DNSSEC is een uitbreiding op het Domain Name System (DNS). Weet je niet precies wat het DNS is? Hieronder vind je een korte uitleg.
DNS, het online postcodesysteem
DNS kun je zien als een online postcodesysteem; wanneer jij het adres van een website intypt in de url-balk, zorgt het DNS er op de achtergrond voor dat je bij het juiste IP-adres uitkomt. Je wordt daarbij doorgestuurd naar het IP-adres van de server waarop de betreffende website zich bevindt.
Helaas zijn sommige hackers in staat om de DNS-route te laten afbuigen naar een andere webserver. Hierdoor kunnen ze jou naar een kopie van de website leiden. Wanneer je daarna bijvoorbeeld een betaling doet via de nepsite, komen jouw persoonlijke gegevens in verkeerde handen terecht. Dit wordt ook wel 'spoofing' genoemd.
Wat is DNSSEC?
Om spoofing te voorkomen, is DNSSEC (Domain Name System Security Extensions) bedacht. Dit is een extra beveiligingslaag voor DNS-verificatie. Gebruikt een domeinnaam DNSSEC? Dan worden de DNS-records van deze domeinnaam voorzien van een digitale handtekening. Hiermee wordt het hackers onmogelijk gemaakt om bezoekers naar een andere server te leiden.
Hoe werkt DNSSEC?
De technische werking van DNSSEC is als volgt:
- DNS-records worden ondertekend met een public en private 'Zone Signing Key' (ZSK).
- Een 'Key Signing Key' (KSK) controleert de ZSK op geldigheid. Hiermee vindt een tweede ondertekening plaats, zodat er niet met de ZSK kan worden gerommeld.
- Zowel de public ZSK als de public KSK worden ondertekend met de private KSK. Zo valideert de public KSK de public ZSK.
Het internet bestaat uit meer dan 1 zone. Voor een beveiligde DNSSEC-integratie is daarom een 'chain of trust' nodig. DNSSEC waarborgt dit met een 'delegation signer' (DS)-record. Hiermee wordt de vertrouwde ondertekening overgedragen van de 'parent zone' naar een 'child zone'.
Het DS-record toont aan DNS-vertalers ('resolvers') dat de child zones gebruikmaken van DNSSEC. Om te valideren dat de ondertekening van de child zone betrouwbaar is, versleutelt de DNS-vertaler de KSK van de child zone. Deze vergelijkt hij met het DS-record van de parent zone. Wanneer deze overeenkomen, bevestigt de resolver dat er tussentijds niet geknoeid is met de waardes.
Het verschil tussen https en DNSSEC
Https zorgt voor een versleutelde websiteverbinding met behulp van encryptie. DNSSEC zorgt voor het ondertekenen van DNS-records, zodat valse waardes worden tegengehouden. Ook wanneer je website beveiligd is met SSL (https), kunnen bezoekers door hackers worden omgeleid via het DNS. Een SSL-certificaat biedt dus geen bescherming tegen spoofing, en DNSSEC wel.
DNSSEC bij Hostnet
Heb je een .nl, .be, .eu, .uk of .co.nl domeinnaam bij Hostnet? Dan gebruik je standaard DNSSEC.
- Heb je een andere domeinnaam? Dan kunnen we DNSSEC alleen inschakelen als je externe nameservers hebt. Lever hiervoor een geldig DS-record aan. Dit record bevat een digest, digest type, algorithm, public key, key tag en flags en kun je aanvragen bij de partij die jouw nameservers beheert. Zodra je in het bezit bent van een DS-record, neem je contact op met onze Klantenservice voor het activeren van DNSSEC.